W tej sprawie pewien Obywatel złożył do Prezesa UODO skargę na:
nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] S.A. z siedzibą w […] (zwaną dalej także Spółką), polegające na udostępnieniu jego danych osobowych w zakresie nadanego ID, adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: […] podmiotowi nieupoważnionemu, tj. administratorowi serwisu […], udostępnieniu jego danych osobowych w zakresie adresu IP i części historii przeglądania bez jego zgody poprzez stronę internetową pod adresem: […] podmiotowi nieupoważnionemu, tj. administratorowi serwisu […], braku odpowiedzi na żądanie usunięcia dotyczących go danych osobowych, w tym w zakresie adresu IP, nadanego ID oraz części historii przeglądania oraz niepoinformowaniu go o działaniach podjętych w związku z jego żądaniem na podstawie art. 12 ust. 3 lub art. 12 ust. 4 RODO
Prezes UODO wydał w grudniu 2021 r. decyzję, w której udzielił upomnienia administratorowi danych, ale nie za udostępnienie danych do jakiego miało dojść według Obywatela, ale za to, że odpowiedź Administratora nie została mu przekazana w terminie przewdzianym w RODO.
w odniesieniu do wiadomości mailowej wysłanej przez Skarżącego, Spółka wskazała, że, cyt.: “wiadomość została automatycznie przeniesiona do folderu »SPAM/wiadomości śmieci« (…).” Spółka odpowiedziała na wiadomość Skarżącego po wszczęciu postępowania administracyjnego, tj. w dniu […] lipca 2021 r. (dowód: wyjaśnienia Spółki z dnia […] lipca 2021 r.).
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Organ wskazał następnie, że w rozumieniu RODO “dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”), natomiast możliwa do zidentyfikowania osoba fizyczna to o sobą, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak np. identyfikator internetowy.
W myśl Motywu 30 RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe “ takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Wobec powyższego, jak wskazał Prezes UODO, zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe.
jak wynika z zebranego w przedmiotowej sprawie materiału dowodowego, w szczególności złożonych przez Spółkę wyjaśnień, w momencie wejścia Skarżącego na administrowaną przez Spółkę stronę internetową […] nastąpiło pobranie z serwisu […] informacji o czcionkach i samych czcionek niezbędnych do prawidłowego wyświetlania treści strony internetowej, w tym treści planszy z obowiązkiem informacyjnym i umożliwiającej zarządzanie zgodami i sprzeciwami. Sam zaś skarżony proces przetwarzania danych osobowych polegający na ich udostępnieniu administratorowi serwisu […] nie zaistniał. Nadto, nadane zostało ID, jednakże wobec niewyrażenia przez Skarżącego zgody, nie doszło do przetwarzania danych osobowych Skarżącego przez administratora serwisu […]. Skarżony proces przetwarzania danych osobowych w przypadku tego drugiego podmiotu również nie miał miejsca.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
W ocenie Sądu organ w sprawie tej nie dokonał pełnych ustaleń stanu faktycznego i nie rozważył wszechstronnie całego materiału dowodowego (art. 7, art. 77 § 1 k.p.a.). Wskazania wymaga przy tym, że zgodnie z art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W odpowiedzi na skargę organ stwierdził, że wziął pod uwagę te dowody, w tym “porównał dostarczone przez Skarżącego zrzuty ekranu oraz dowody dostarczone przez Spółkę, w szczególności złożone przez nią wyjaśnienia (…)”. Nie potwierdza tego jednak uzasadnienie decyzji, które w żaden sposób nie odnosi się do przedłożonego przez stronę materiału dowodowego. Z uzasadnienia decyzji nie wynika, aby organ podejmując rozstrzygnięcie zawarte w punkcie 2 decyzji oparł się w jakimkolwiek zakresie na przedłożonych przez stronę materiałach, aby je analizował. Jeśli zaś organ materiały te poddał analizie, to z uzasadnienia decyzji nie wynika, jakie na ich podstawie poczynił ustalenia.
Kwestia ta ma przy tym o tyle istotne znaczenie, że ściśle wiąże się z wyrażonym przez organ w decyzji twierdzeniem, że “zarówno adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […], z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego w powiązaniu z tymi danymi, stanowią jego dane osobowe”.
Powyższe twierdzenie organu nie jest do końca zrozumiałe. Wskazuje bowiem, że te wymienione przez organ dane w powiązaniu z tymi samymi danymi stanowią dane osobowe “z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania Skarżącego”. Organ nie wyjaśnia jednak w jaki sposób Spółka mogłaby mając te dane zidentyfikować skarżącego, co stanowi o dowolnej ocenie w zakresie zakwalifikowania kwestionowanych przez Skarżącego danych jako danych osobowych, a tym samym narusza w sposób istotny art. 80 i art. 107 § 1 pkt 3 k.p.a.
Nadto, postępowanie administracyjne – jak wynika z decyzji i skargi wszczynającej postępowanie przed Prezesem UODO – dotyczyło numeru ID, adresu IP i części historii przeglądania (udostępnienie tych informacji było bowiem kwestionowane przez skarżącego), zatem konieczne jest stwierdzenie przez organ po pierwsze, czy Spółka dysponowała (we wskazywanej przez skarżącego dacie) i dysponuje tymi informacjami, a jeśli tak, to czy stanowią one dane osobowe skarżącego w rozumieniu RODO i czy tym samym można mówić o ich przetwarzaniu przez Spółkę. Kwestia ta powinna być punktem wyjścia do dokonania przez organ następnie ustaleń co do tego, czy nastąpiło udostępnienie przez Spółkę danych osobowych skarżącego innym podmiotom.
Wziąć trzeba przy tym pod uwagę całe wyjaśnienia Spółki, które wpłynęły do organu w dniu 14 lipca 2021 r. na wezwanie wystosowane przez organ 1 lipca 2021 r., a nie jedynie wybrane przez organ fragmenty przytoczone w stanie faktycznym decyzji. Spółka wskazywała bowiem w tych wyjaśnieniach m.in., że “nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do zidentyfikowania osoby fizycznej – Skarżącego. (…)”. Także w odpowiedzi na drugie pytanie organu “czy Spółka aktualnie przetwarza dane osobowe Skarżącego, w tym w zakresie nadanego ID, jego adresu IP oraz historii przeglądania strony internetowej pod adresem; […], (…)”, Spółka wskazała m.in., że “(…) nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczącej możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego, a zatem nie jest możliwe udzielenie odpowiedzi na pytanie w zakresie danych pozyskanych w związku z aktywnością w serwisie […]. (…)”. Spółka podniosła też m.in., że “pozyskała dane Skarżącego 5 maja 2021 roku wraz z wpływem wniosku Skarżącego, a następnie dnia 2 lipca 2021 r., tj. w dacie wpływu pisma Urzędu Ochrony Danych Osobowych wraz z kopią skargi (…)”. Organ wyjaśnień tych nie rozważył przy rozpatrywaniu sprawy lecz arbitralnie stwierdził w decyzji, że “adres IP Skarżącego, jak również powiązane z nim Cookie ID, informacje o przeglądarce i systemie operacyjnym oraz informacje o ruchu Skarżącego w serwisie […]” stanowią dane osobowe skarżącego.
Organ nie wyjaśnił w decyzji jednakże, czy Spółka miała możliwość zidentyfikowania skarżącego i za pomocą jakiego konkretnego identyfikatora, czy narzędzia bądź informacji. Jest to o tyle istotne, że Spółka twierdziła w wyjaśnieniach skierowanych do organu, o których była mowa wyżej, że “nie jest w stanie wyszukać w swoich zasobach danych lub informacji dotyczących możliwej do jednoznacznego zidentyfikowania osoby fizycznej – Skarżącego”.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Twierdzenie organu, że określone informacje stanowią dane osobowe, w rozumieniu RODO, konkretnej osoby fizycznej – w tym przypadku skarżącego, nie może zatem opierać się na gołosłownym twierdzeniu o uzasadnionym prawdopodobieństwie zidentyfikowania skarżącego, jak należy domniemywać, przez Spółkę, jako administratora. Powyższe wymagało wykazania.
raz jeszcze podkreślić należy, że dokonanie ustalenia, czy określony numer, identyfikator internetowy bądź inne informacje (o których mowa w skardze inicjującej postępowanie przed PUODO) stanowią dane osobowe wymaga poczynienia ustaleń, czy Spółka ma możliwość bezpośredniego bądź pośredniego zidentyfikowania osoby fizycznej, tj. skarżącego.
Zatem, konieczne jest stwierdzenie, czy Spółka dysponuje bądź to innymi informacjami (należy wskazać jakimi konkretnie), które na taką identyfikację według Prezesa UODO pozwalają, bądź środkami, instrumentami, narzędziami, które może w sposób prawem przewidziany – w ściśle określonej w sprawie sytuacji – wykorzystać, aby uzyskać od dostawcy dostępu do Internetu informacje pozwalające na taką identyfikację osoby fizycznej.
Jeśli zaś zdaniem organu informacje te same w sobie pozwalają Spółce na identyfikację osoby skarżącego bądź umożliwiają taką identyfikację skarżącego, to należy wskazać w jaki sposób każda z tych informacji, o których mowa w skarze inicjującej postępowanie przed Prezesem UODO, identyfikację tę czyni możliwą.
Z uzasadnienia decyzji powinno jednoznacznie wynikać jakie dane (informacje), o których mowa w sprawie, organ uznał za dane osobowe i dlaczego, jakich danych (informacji) nie uznał za dane osobowe i dlaczego, na jakich dowodach organ się oparł, jakich dowodów organ nie uwzględnił i dlaczego nie dał im wiary. Decyzja nie powinna pozostawiać wątpliwości dlaczego w ocenie organu miało miejsce przetwarzanie danych osobowych (w tym ewentualnie ich udostępnienie przez Spółkę innym podmiotom) bądź nie miało miejsca przetwarzanie danych osobowych skarżącego, w tym ich udostępnienie przez Spółkę innym podmiotom.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
